Exportar (0) Imprimir
Expandir Tudo

Considerações sobre segurança do IAS como proxy RADIUS

Atualizado: janeiro de 2005

Aplica-se a: Windows Server 2003, Windows Server 2003 R2, Windows Server 2003 with SP1, Windows Server 2003 with SP2

Considerações de segurança do IAS como um proxy RADIUS

Considere os seguintes aspectos de segurança ao implantar o IAS como um proxy RADIUS:

  • Segredos compartilhados

    Configure segredos compartilhados de alta segurança para impedir tentativas de violação e altere-os periodicamente. Os segredos compartilhados de alta segurança consistem em uma seqüência longa (mais de 22 caracteres) de letras, números e pontuação aleatórios. Para obter mais informações, consulte Segredos compartilhados.

  • Configuração do firewall

    Se o proxy IAS estiver em uma rede de perímetro, configure o firewall de Internet (entre a rede de perímetro e a Internet) para que as mensagens RADIUS sejam transmitidas entre o proxy IAS e os clientes RADIUS na Internet. Talvez seja necessário configurar um firewall adicional, colocado entre a rede de perímetro e a intranet, para possibilitar o tráfego RADIUS entre o proxy IAS na rede de perímetro e um servidor IAS da intranet. Para obter mais informações, consulte IAS e firewalls.

  • Atributo de autenticador de mensagem

    É possível usar o atributo de autenticador de mensagem RADIUS (também conhecido como assinatura digital ou atributo de assinatura) para se certificar de que as mensagens de solicitação de acesso RADIUS relacionadas a solicitações de conexão foram enviadas por um cliente RADIUS configurado com o segredo compartilhado correto. O atributo de autenticador de mensagem sempre é usado com o EAP — não é preciso habilitá-lo no servidor IAS e no servidor de acesso. No caso dos protocolos de autenticação PAP, CHAP, MS-CHAP e MS-CHAP v2, você deve ativar o uso do atributo de autenticador de mensagem no servidor IAS (como parte da configuração do cliente RADIUS no Serviço de autenticação da Internet) e no cliente RADIUS (o servidor de acesso ou o proxy RADIUS). Certifique-se de que o cliente RADIUS oferece suporte ao atributo de autenticador de mensagem antes de ativá-lo. Para obter mais informações, consulte Editar a configuração do cliente RADIUS.

    Para obter mais informações sobre como ativar o atributo de autenticador de mensagem RADIUS para o servidor de acesso, consulte a documentação apropriada do servidor de acesso. No caso do serviço Roteamento e Acesso Remoto, o uso do atributo de autenticador de mensagem RADIUS é ativado nas propriedades de um servidor RADIUS quando você configura a autenticação RADIUS. Para obter mais informações, consulte Usar a autenticação RADIUS.

  • Usando filtros IPSec para bloquear servidores proxies IAS

    Você pode configurar filtros IPSec para permitir que o tráfego de uma rede específica passe pelas interfaces de rede em servidores RADIUS. Esses filtros podem ser aplicados a unidades organizacionais e armazenados no Active Directory ou podem ser criados e aplicados a servidores individuais. Para obter mais informações, consulte Protegendo o tráfego do RADIUS com o IPSec.

  • Protocolo de autenticação de senha (PAP)

    Não é recomendado o uso do protocolo PAP quando são empregados proxies RADIUS. Para obter mais informações, consulte IAS e firewalls.

Observação

  • Você pode configurar o IAS no Windows Server 2003 Standard Edition com, no máximo, 50 clientes RADIUS e 2 grupos de servidores remotos RADIUS. Você pode definir um cliente RADIUS usando um endereço IP ou um nome de domínio totalmente qualificado, mas não pode definir grupos de clientes RADIUS especificando um intervalo de endereços IP. Se o nome de domínio totalmente qualificado de um cliente RADIUS é resolvido para vários endereços IP, o servidor IAS usa o primeiro endereço IP retornado na consulta DNS. Com o IAS no Windows Server 2003 Enterprise Edition e no Windows Server 2003 Datacenter Edition, você pode configurar um número ilimitado de clientes RADIUS e grupos de servidores remotos RADIUS. Você também pode configurar clientes RADIUS especificando um intervalo de endereços IP.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft